学院宿舍网络设计专科毕业设计.doc

《学院宿舍网络设计专科毕业设计.doc》由会员分享，可在线阅读，更多相关《学院宿舍网络设计专科毕业设计.doc（24页珍藏版）》请在三一办公上搜索。

1、【摘要】目前高校学生宿舍网络建设的运营模式、用户认证技术、流量管理、网络安全等方面都存在着比较突出的问题，本文根据本学院学生宿舍网络实际运行状况以及作者多年的网络管理经验，提出了自己的见解和思路并加以探讨，以达到提高效益，促进学生宿舍网络规划的科学化，保证学生宿舍网络安全稳定健康地运行。 21世纪是知识经济年代。信息和教育相结合已经成为当今世界教育改革和发展中极其重要的部分，而当前蓬勃发展的以计算机和网络为主导的现代信息技术则是教育现代化必不可少的技术基础。不少大专院校以及中小学正在通过网络技术在整个校园建立起功能强大的有线和无线的网络，把学生、行政管理人员连接起来，并且进一步通过网络将校园和

2、外部世界建立起桥梁。最重要的是，网络技术已经改变了传统的学习方式和获取知识的过程。此外，各个学校在市场经济的大环境中，还面临着生源竞争的巨大压力，不同类型和不同规模的院校对先进的信息技术尤其是网络技术的使用已经成为它们在同行业激烈的竞争中取胜的关键。【关键词】网络需求，网络配置，网络安全,防火墙技术目 录第一章 前言31.1项目背景：31.2任务目标31.3需求分析41.3.1 功能需求41.3.2 性能需求5第二章 网络设计62.1 初始网络拓扑图6第三章 网络优化与调试83.1优化分析83.2设备选择83.3 IP地址规划9第四章 配置过程104.1配置分析104.2配置代码124.2.1

3、设备基本配置12第五章 网络安全与防护技术165.1 计算机网络安全165.1.1 计算机网络安全的目的和功能165.1.2 网络安全的潜在威胁175.1.3 网络安全的策略175.2 防火墙技术185.2.1 防火墙的概念185.2.2 防火墙的作用和特性185.2.3 实现防火墙的主要技术195.2.4 防火墙的体系结构205.2.5 防火墙选择原则205.2.6 防火墙的配置20总结22致谢23参考文献24第一章 前言1.1项目背景： 在育才学院中，购买计算机的学生越来越多，宿舍楼往往有很多台计算机。为了使相邻宿舍之间的多台电脑连接成局域网，实现资源共享。多台电脑共享上网。各个宿舍或同学

4、间进行信息交流，提高学习效率。因此对学生寝室楼的网络进行可行性规划。随着时代的变迁与人们生活的改善，越来越多的大学生希望改善住宿条件，完善设施建设，享受优美环境，提供多层次、全方位的便利服务，宿舍局域网的形成，可使多个宿舍乃至整个宿舍楼的电脑共享一个internet帐户，通过局域网服务工作站主机访问internet。其实，局域网的形成不仅仅为宿舍电脑访问internet提供了便利条件，它的建立将给学生的生活、学习。为了更好地保障学生宿舍网安全、高效地运行，我想对学校寝室楼的网络进行规划，进一步加强安全管理，IP子网划分，VLAN的划分等，给学生提供更多的应用服务。1.2任务目标建网的目的：实现

5、大学的校园网络化，校园宿舍、能实现计算机联网，并且整个校园接入互联网，以及校园的数字化建设。建网的要求：（1）实用性和经济性充分集成现有的各种计算机和网络设备，使建设的系统适用、安全、可靠且易管理、维护和扩展，具有最高的性价比。（2）开放性构造一个开放的网络系统，是当前世界计算机技术发展的潮流。在整个系统设计中采用的规范和设备与厂商无关，具有较强的兼容性，便于与外界异种机平滑互联。（3） 先进性当今计算机网络技术发展日新月异，把握不准方向则可能导致在很短的时间内技术落伍，从而面临被淘汰的危险。因此在坚持实用性的前提下尽量采用国际先进成熟的网络技术和设备，以适于未来的发展和需要，做到一次规划长期

6、受益。（4） 可扩充性所选择的联网方案及设备要能适应网络规划不断扩大的要求，以便于将来设备的扩充；要能适应信息技术不断发展的要求，平稳地向未来新技术过渡。（5） 可靠性系统设计除采用信誉好、质量高的设备外，还采用一系列容错、冗余技术，提高整个系统的可靠性。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。（6） 安全性包括两个方面：网络用户级的安全性，数据传输级的安全性。网络用户级的安全性应在网络的操作系统中予以考虑，而数据传输的安全性则必须在网络传输时解决。在网络设计中，既要考虑信息资源

7、的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。1.3需求分析 用户业务数据统计用户业务流名称实时性要求对流量要求网络游戏高高HTTP页面浏览高高迅雷下载高高BT下载高高在线看视频高低在线下载低低 1.3.1 功能需求 功能划分和描述 数据通信数据通信即实现计

8、算机与终端、计算机与计算机间的数据传输，是计算机网络的最基本的功能，也是实现其他功能的基础。如电子邮件、传真、远程数据交换等。 资源共享实现计算机网络的主要目的是共享资源。一般情况下，网络中可共享的资源有硬件资源、软件资源和数据资源，其中共享数据资源最为重要。远程传输 计算机已经由科学计算向数据处理方面发展，由单机向网络方面发展，且发展的速度很快。分布在很远的用户可以互相传输数据信息，互相交流，协同工作。 1.3.2 性能需求 实现学生宿舍园区学生对Internet的高速、安全访问以及宿舍间信息的高度共享、传递。通过数据链路冗余备份技术实现网络的稳定可靠性。需求：要能达到低负载、高带宽、最简单

9、、最有效要求需求：核心设备支持T级以上的背板设计，硬件实现ACL、QoS、组播等功能需求：确保物理层、链路层、网络层稳定、可靠需求：不以牺牲网络性能为代价，实现病毒和攻击的防护、用户接入控制、路由协议安全2。需求：由于宿舍区学生人数众多，根据图1显示应用主要是迅雷和http网页浏览，网络需要提供足够的带宽 第二章 网络设计在此育才学院宿舍校园网的设计中，我采用层次化模型来设计网络拓扑结构。在大型网设计中，使用层次化模型好处如下：（1）易于配置：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用;（2） 更广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;

10、（3） 稳定性及可靠性：系统的运行应具有高度稳定性，保障系统的高性能无故障运行。（4） 可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理;（5） 更低的总成本：系统设计应尽量降低整个系统总成本;（6）安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全;2.1 初始网络拓扑图 图1 拓扑图 图2 宿舍分布图 图3 宿舍网络分布第三章 网络优化与调试3.1优化分析分析：网络核心冗余，核心到汇聚双链路备份分析：核心交换机选择DSX081，可以实现需求分析：要求各层设备能够有防病毒功能，项目中所选设备均可通过配置防止病毒泛滥分析：核心交换

11、机，保证在实现防病毒攻击的情况下，核心交换机性能不受影响，接入层采用安全智能接入层交换机DSX081。3.2设备选择（1）路由器:锐捷网络 RG-NBR3000 产品类型:千兆防攻击核心宽带路由器处理器:1.3GHz主频64位RISC专业网络处理器内存:512MB固定广域网接口:2个10/100M/1000M光电复用端口(Combo),1个10/100M /1000M自适应RJ45端口(Auto MDI/MDIX)固定局域网接口:5个10/100M/1000M自适应RJ45端口(Auto MDI/MDIX) 交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备

12、了一些新的功能，如对VLAN（虚拟局域网）的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能，有的交换机还可以配置监视端口检查任何两个端口之间的通信量。路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。3.3 I

13、P地址规划选用C类IP地址，191.16.12.0，子网掩码255.255.255.01）需要分给六层，所以23=87新的子网掩码255.255.255.2252）每个网段主机数=25=323）每个部门所用IP范围192.16.12.1-192.16.12.30192.16.12.31-192.16.12.62192.16.12.63-192.16.12.94192.16.12.95-192.16.12.126192.16.12.127-192.16.12.158192.16.12.159-192.16.12.190192.16.12.191-192.16.12.223192.16.12.22

14、4-192.16.12.254第四章 配置过程4.1配置分析（1）路由器:锐捷网络 RG-NBR3000 产品类型:千兆防攻击核心宽带路由器处理器:1.3GHz主频64位RISC专业网络处理器内存:512MB固定广域网接口:2个10/100M/1000M光电复用端口(Combo),1个10/100M /1000M自适应RJ45端口(Auto MDI/MDIX)固定局域网接口:5个10/100M/1000M自适应RJ45端口(Auto MDI/MDIX) 交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能，如对VLAN（虚拟局域网）的支持、对链路

15、汇聚的支持，甚至有的还具有防火墙的功能，有的交换机还可以配置监视端口检查任何两个端口之间的通信量。路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。图4 路由器（2）交换机: 锐捷网络 RG-S1826R 产品类型

16、:快速以太网交换机接口类型:RJ45/接口数目:24口模块化插槽数:1个扩展接口插槽,可扩展单口或双口百兆多单模光纤接口模块VLAN支持:不支持VLAN传输速率:10M/100Mbps传输方式:存储转发 采用高性能交换芯片，高达48Gbps的背板带宽可保证高流量负载环境下，所有端口全线速无阻塞传输，满足千兆接入或汇聚的高流量数据转发要求，亦可直接作为中小型网络的核心设备来构建经济型千兆骨干网络。高性价比的千兆服务器群连接能力每个独立的千兆铜缆端口，都可以协助用户以千兆速度直接高速连接服务器，将彻底消除局域网传输及访问服务器群的带宽瓶颈。直连线与交叉线序自动识别所有端口支持MDI/MDI-X自适

17、应，对于直连线和交叉线均可直接使用，避免线缆差别带来的麻烦与不便。高效SRAM提高交换效率内建高效SRAM数据缓存及集成地址搜寻引擎，各端口动态分配SRAM数据缓存，有效提高数据交换效率。双向地址学习所有端口均支持双向地址学习，自动记录端口连接设备地址并存储于地址表中，有效提高地址学习刷新效率，协助用户快速连接网络。宽频电信级电源设计采用电信级的开关电源，具有防雷设计、防过压设计、防浪涌设计，电压可适应100240V大范围，保证在不良自然天气及电压不稳环境下网络的正常运行。符合标准：IEEE 802.3、IEEE 802.3u、IEEE802.3x、IEEE 802.3ab固定端口：24个10

18、/100/1000Mbps自适应以太网端口RJ-45交换端口网络介质：10Base-T：3类或3类以上双绞线（支持最大传输距离200m）；100Base-TX：5类双绞线（支持最大传输距离100m）；1000Base-T：5类双绞线（支持最大传输距离100m）。工作模式：半双工、全双工、自协商模式，支持MDI/MDI-X自适应；背板，48Gbps，二层交换，所有端口支持线速转发。MAC地址：8K，地址自动学习、自动老化。交换模式:存储转发模式;流控:支持IEEE 802.3x全双工流控;尺寸(宽高深):440mm 44mm 200mm;电源:AC 100VAC240VAC，50Hz60Hz;最

19、大功耗:30W;温度:工作温度：050;存储温度：-4070湿度:工作湿度：10%90% RH,存储湿度：5%95% RH 图5 交换机4.2配置代码4.2.1设备基本配置（1）交换机远程登录Switchenable 进入特权模式Switch#configure terminal 进入全局模式Switch (config)#hostname zym081408070DSX081 (config)#interface vlan 1 进入交换机管理接口配置模式DSX081 (config-if)#no shutdown 开启交换机管理端口DSX081 (config-if)#ip address

20、192.168.1.1 255.255.255.0 配置交换机管理接口IP地址。DSX081 (config-if)#endDSX081 (config)#enable secret level 1 0 star ！配置远程登陆密码 DSX081 (config)#enable secret level 15 0 star ！配置进入特权模式密码图6 交换机远程登录（2）交换机端口隔离Switchenable （进入交换机特权模式）Switch#configure terminal （进入交换机全局模式）Switch（config）#hostname Yy082 (重新命名)Yy082 (co

21、nfig)#vlan 10 （创建vlan10）Yy082（config-vlan）#exit（退出vlan模式）DSX081（config-vlan）#exitDSX081（config）#exitDSX081#show vlanDSX081#configure terminalDSX081（config）#interface f0/5 （进入f0/5的接口配置模式）DSX081（config-if）#switch access vlan 10 （将f0/5端口加入vlan10中）DSX081（config-if）#exitDSX081（config）#interface f0/15（进入f

22、0/15的接口配置模式）DSX081（config-if）#switch access vlan 20（将f0/15端口加入vlan20中）DSX081#show vlan验证配置信息Zym081408070# show vlanVLAN Name Status Ports- - - -1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21

23、, Fa0/22 Fa0/23,Fa0/244 VLANZym081408070 active Fa0/5PC1 Ping PC2（ping不通，隔离成功）。图7 交换机端口隔离（3）路由器远程登录配置terenable !进入特权模式Router# configure terminal ！进入全局配置模式Router(config)#hostname Zym081408070 !重新命名DSX081 (config)# interface fastethernet 1/0 ！进入路由器接口配置模式DSX081config-if)# ip address 192.168.1.1 255.255

24、.255.0 ！配置路由器管理接口IP地址DSX081 (config-if)# no shutdown ！开启路由器f 1/0接口DSX081 (config)#show ip interface fastethernet 1/0 ！验证接口fastethernet 1/0的IP地址已经配置和开启DSX081 (config)# line vty 0 4 ！进入路由器线路配置模式DSX081 (config-line)# login ！配置远程登录DSX081 (config-line)# password star ！设置路由器远程登录密码为 “star” DSX081 (config-l

25、ine)#endDSX081 (config)# enable secret star ！设置路由器特权模式密码为 DSX081(config)# enable password starTELNET管理路由器图8 VLAN第五章 网络安全与防护技术5.1 计算机网络安全计算机网络安全问题是一个错综复杂的问题，它涉及到系统故障以及有意无意的破坏等。为了确保计算机网络安全，需要采取物理措施、管理措施和技术等多方面措施。计算机网络安全的保护对象主要是数据、资源（硬件资源和软件资源）和声誉（用户形象）。 从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不

26、受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术及理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。5.1.1 计算机网络安全的目的和功能1、网络安全的目的计算机网络安全就是研究如何保障计算机资源的安全，即计算机的系统资

27、源和信息资源的安全。影响计算机网络安全的因素主要有以下几种：实体安全、运行安全、数据安全、软件安全和通信安全。2、网络安全的功能和措施计算机网络安全问题是一个很复杂的问题，任何时候都不会有一劳永逸的解决措施。因为计算机的安全与反安全会一直地进行下去，故要使计算机网络具有较高安全性，需要将计算机系统的各种安全防护技术（如实体安全防护技术、防电磁辐射泄露技术、软硬件防护技术、防火墙技术、数据保密变换以及安全管理与法律制裁等）结合使用，对计算机系统进行综合分层防护，从而提高计算机网络的整体防护水平。 加强计算机安全管理的法规建设，建立和健全各项规章制度是保障计算机网络安全的重要一环。利用制定人员的管

28、理制度，加强人员审查，在组织管理上避免单独操作，操作与设计分离等制度和措施降低了作案的可能性。5.1.2 网络安全的潜在威胁安全威胁是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性使用所造成的危害。安全威胁可分为故意威胁和偶然威胁，所谓偶然威胁是指由偶然因素造成的威胁（如信息被发往错误的地址）。而故意威胁又可进一步分为被动威胁和主动威胁，被动威胁是只对信息进行监听（如搭线窃听），而不对其进行修改。主动威胁包括信息进行故意的修改（如改动某次金融会议中货币的数量）。1、基本威胁信息安全的基本目标是实现信息的机密性、机密性、完整性、可用性以及资源的合法性使用。常见的4种基本威胁是：信息

29、泄露、完整性破坏、拒绝服务和非法使用。 2、主要的可实现威胁主要的可实现威胁可以分为渗入威胁和植入威胁。主要的渗入威胁有：假冒、旁路控制和授权侵犯。 主要的植入威胁有：特洛伊木马（Torjan Horse）和陷门。 3、潜在威胁通过对各种威胁进行分析，可以发现某些特定的威胁可以导致更基本的威胁发生，这些特定威胁称为潜在威胁。例如对于信息泄露这样的一种基本威胁，可以找出以下几种潜在的威胁：（1）窃听；（2）业务流分析；（3）人员疏忽；（4）媒体清理。通过调查分析可知，下面几种威胁是最主要的威胁：授权侵犯、假冒、旁路控制、特洛伊木马、陷门和媒体清理等。5.1.3 网络安全的策略当安全具体化时，它有

30、一定范围，这个范围便是属于某个组织的处理和通信资源的集合，称为安全区域。在某一个安全区域内，应该有一个关于安全问题的总体目标和规划，这就是安全策略。以下是几种常见的网络安全策略：（是抽象策略，不是具体策略）（1）最小特权原则。（2）多道防线。（3）阻塞点。（4）最薄弱环节。（5）失效保护机制。（6）普通参与。（7）防御多样化。5.2 防火墙技术防火墙是设备在不同网络或网络安全域之间一系列部件的组合。防火墙可以分为硬件防火墙和软件防火墙两类。5.2.1 防火墙的概念“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity ga

31、teway),从而保护内部网免受非法用户的侵入。 所谓防火墙就是一个能把互联网与内部网隔开的屏障。5.2.2 防火墙的作用和特性1、防火墙的作用（1）防火墙能强化安全策略（防火墙是阻塞点）。（2）防火墙能有效的记录Internet上的活动。如作日志记录、有报警功能。（3）防火墙能限制暴露用户点，隐藏内部信息。（4）防火墙是一个安全策略的检查站。（5）防火墙有转换地址功能（IP地址）。2、防火墙的特性（1）所有内部对外部的通信都必须通过防火墙，反之亦然。（2）只有按安全策略所定义的授权，通信才允许通过。（3）防火墙本身是抗入侵的 。（4）防火墙是网络的要塞点，是达到网络安全目的的有效手段，因此，

32、尽可能将安全措施都集中在这一点上。（5）防火墙可以强制安全策略的实施。（6）防火墙不能防范恶意的内部知情者。（7）防火墙不能防范不通过它的连接。（8）防火墙不能防御所有的威胁。（9）防火墙不能防范和消除网络上的PC机的病毒。5.2.3 实现防火墙的主要技术1、数据包过滤技术数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格

33、便宜，易于安装和使用， 网络性能和透明性好，在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击； 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。 2、应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，

34、并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。3、代理服务技术代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙

35、技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接， 由两个终止代理服务器上的 链接来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。5.2.4 防火墙的体系结构防火墙的体系结构可分为简单结构和复杂结构。简单结构包括屏蔽路由器结构和双重宿主主机结构；复杂结构包括屏蔽主机体系结构（应用最多）和屏蔽子网体系结构。特点：此类防火墙结构有两个屏蔽路由器和一个壁垒主机三部分构成。两个路由器运行包过滤

36、技术，主要负责数据的过滤检查。壁垒主机运行代理服务技术，负责将合法数据转发出去。入侵者必须通过内外路由器、壁垒主机三道防线才能进入内部系统。既使壁垒主机被侵害，内部系统仍然是安全的。优点：安全性很高（三道防线、内部网对外部不可见、代理服务）。缺点：结构复杂，造价高。5.2.5 防火墙选择原则1.防火墙自身是否安全。2.系统是否稳定。3.防火墙是否高效。4.防火墙类的访问控制设备是否可靠。5.功能是否灵活。6.配置是否方便。7.管理是否简便。8.是否可以抵抗拒绝服务攻击。9.应考虑的特殊需求。10.是否具有可扩展、可升级性。5.2.6 防火墙的配置有三种配置防火墙的方法：Web服务器位于防火墙内

37、、防火墙外、防火墙上。校园网一般采用Web服务器位于防火墙上（见图7）优点：内网安全。缺点：警惕Web服务器的安全。Web服务器和防火墙 图9防火墙的配置总结本设计以学校的宿舍楼网络组建为例，对计算机宿舍楼网络的组建和软件应用进行了分析，具体的对从建立宿舍楼网络的原因倒宿舍群网的相关知识进行了介绍说明和对网络维护具体方法，通过本案例的分析，我可以初步的掌握建立网络的过程，尤其宿舍楼网络建立的步骤。说实在的真感觉是好难好难，真不容易上手，也感觉选题不怎么好，做起来很是吃力。但我相信，有了第一次，第二次的时候就会很容易入手的。致谢为期一个多月的网络设计即将结束了,再此特别感谢所有帮助过的同学以及老师们,感谢老师对我们计算机的指导,最后感谢学校领导为我们提供了这个锻炼自己的平台!参考文献1谢希仁.计算机网络 第四版M . 电子工业出版社.2003年9月第4版，160-164，221-2222张国清 刘亮.网络综合项目实验指导书M .电子工业出版社.2007年12月，43-623思科网络.网络互联与实现M . 北京希望电子出版社.2006年9月第2版，47-2474胡道元.计算机局域网M.北京：清华大学出版社，20015姚正. 计算机发展趋势展望J. 商情(教育经济研究), 2008,(01)